自2019年以来，LightBasin黑客攻击了至少13家电信服务提供商

一个名为LightBasin的高度复杂的对手被认定是一系列针对电信行业的攻击的幕后主使，目标是从移动通信基础设施收集“高度特定的信息”，如用户信息和呼叫元数据。

网络安全公司CrowdStrike的研究人员在周二发布的一份分析报告中说：“参与者针对的数据的性质与情报机构可能感兴趣的信息一致。”。

LightBasin（又名UNC1945）早在2016年就活跃起来，据信，自2019年以来，它利用定制工具及其对电信协议的广泛了解，在组织的防御系统中使用镰刀，危害了全球13家电信公司。目标实体的身份没有披露，调查结果也没有将该集群的活动与特定国家联系起来。

事实上，CrowdStrike最近调查的一个事件发现，目标入侵行为人利用外部DNS（eDNS）服务器，通过SSH和以前建立的后门（如乒乓球）直接与其他受损电信公司的GPRS网络连接。最初的妥协借助于密码喷洒攻击，从而导致安装闹剧恶意软件窃取密码并转向网络中的其他系统。

基于遥测数据的其他指示显示，目标入侵行为人能够模拟GPRS网络接入点，以便与名为TinyShell的基于Unix的后门一起执行命令和控制通信，从而使攻击者能够通过电信网络隧道通信。

LightBasin的恶意软件库中有多种工具，其中包括一个名为“CordScan”的网络扫描和数据包捕获实用程序，允许运营商对移动设备进行指纹识别，以及“SIGTRANslator”，一种可以通过SIGTRAN协议套件传输和接收数据的ELF二进制文件，用于通过IP网络传输公共交换电话网（PSTN）信令。

“作为电信公司之间漫游协议的一部分，服务器需要相互通信并不奇怪；然而，LightBasin在多家电信公司之间转移的能力源于允许这些组织之间的所有通信，而不确定实际需要的协议。”“ired，”CrowdStrike指出。

“因此，这里的关键建议是，任何电信公司都要确保负责GPRS网络的防火墙有适当的规则，将网络流量限制在预期的协议上，如DNS或GTP，”该公司补充道。

与此同时，网络安全公司赛门铁克（Symantec）披露了一个名为“收获者”（Harvester）的先前未被发现的高级持续威胁（APT）组织的细节，该组织与一场针对电信、政府、，自2021年6月起，南亚的信息技术部门使用了名为“Graphon”的定制植入物。